Skip to main content

Documentation Index

Fetch the complete documentation index at: https://snakysec.mintlify.app/llms.txt

Use this file to discover all available pages before exploring further.

Rapport post-incident — [Titre court] — YYYY-MM-DD

Note de classification : TLP:AMBER (partage interne SnakySec + clients impactés + autorités CSIRT-FR/CNIL si applicable). Ne pas publier publiquement sans dé-classification explicite.

1. Synthèse exécutive

[Paragraphe de 5-10 lignes destiné aux dirigeants client + auditeurs externes : nature de l’incident, impact, durée, données concernées, mesures prises, prochaines étapes. Langage non technique.]

2. Identifiants

  • Identifiant interne : INC-YYYY-NNN
  • Référence CSIRT-FR (si applicable) : CERT-FR-AVI-YYYY-NNNN
  • Référence CNIL (si applicable) : [N° de notification]
  • Référence assurance cyber (si applicable) : [N° dossier Stoik/Acheel]
  • Date détection : YYYY-MM-DD HH:MM UTC
  • Date résolution : YYYY-MM-DD HH:MM UTC
  • Date émission rapport : YYYY-MM-DD
  • Auteur : Nicolas Schiffgens, dirigeant SnakySec
  • Niveau de confiance des conclusions : [Élevé / Moyen / Préliminaire]

3. Chronologie détaillée

Date / heure UTCActeurÉvénementSource / preuve
YYYY-MM-DD HH:MM[SnakySec / attaquant / autorité][Action ou détection][Sentry / log / témoin]
Granularité : minute par minute pour les 4 premières heures, heure par heure ensuite, jour par jour pour J+2 et après.

4. Périmètre de l’incident

4.1 Systèmes impactés

ComposantImpactDuréeConséquence
[Postgres / Vault / VPS / etc.][HS / dégradé / surveillé]N heures[…]

4.2 Données impactées

CatégorieNatureVolume estiméStatut
Configurations clientsConfidentialitéN enregistrements[Intact / fuite suspectée / fuite confirmée]
Audits CIS/SCuBAIntégritéN audits[Intact / corrompu]
Rapports GRCDisponibilitéN rapports[Disponible / temporairement HS]
Audit log Ed25519IntégritéN entrées[Vérifiée OK / chain rompue à seq XXX]
Données personnelles (RGPD)Confidentialité[Liste précise par catégorie de personnes][…]

4.3 Clients concernés

[Liste avec niveau d’impact par client. À transmettre uniquement aux clients concernés dans leur copie nominale du rapport, anonymiser dans la version inter-équipe.]

5. Cause racine

5.1 Vecteur d’entrée

[Description précise — exploit zero-day, compromission credentials, social engineering, bug applicatif, panne fournisseur, etc.]

5.2 Vulnérabilité exploitée

VulnérabilitéCVEScore CVSSStatut au moment de l’incident
[Description][CVE-YYYY-NNNNN]X.X[Patchée / non-patchée / inconnue]

5.3 Conditions de déclenchement

[Pourquoi à ce moment précis, et pas avant / pas après. Ex : “Le bug XYZ a été introduit en commit abc123 le DD/MM, déclenché lorsqu’un audit contenant un caractère é a été importé.”]

5.4 Pourquoi les contrôles existants n’ont pas détecté

[Auto-critique honnête. Ex : “Sentry n’a pas alerté car le pattern d’erreur ne correspondait à aucun grouper existant. Le test unitaire ne couvrait pas ce cas car nous n’avions jamais reçu d’audit avec accent.”]

6. Réponse à incident

6.1 Détection

  • Source : [Sentry / monitoring / client / CSIRT-FR / interne]
  • Délai détection-déclenchement : N minutes / heures
  • Évaluation critère initial : [P1 / P2 / P3] cf. incident-response/01-detection-triage.md

6.2 Containment

  • Heure d’isolation : YYYY-MM-DD HH:MM UTC
  • Mesures prises : [stop containers / firewall / révocation tokens / etc.]
  • Périmètre contenu en N minutes / heures

6.3 Eradication

  • Méthode : [restore depuis backup intègre / patch / rotation secrets / etc.]
  • Runbook utilisé : [chemin docs/dr/runbooks/XX.md]
  • Durée : N heures

6.4 Recovery

  • RTO réel : N heures (vs RTO cible N heures)
  • RPO réel mesuré : N minutes (vs RPO cible N minutes)
  • Validation : smoke-after-restore.sh OK + chain Ed25519 verify OK

6.5 Communication

AudienceDélai notificationMéthode
Clients impactés (préventif)T+N minutesEmail transactionnel
CSIRT-FR (pré-notif)T+N heuresFormulaire CERT-FR
CNIL (si data perso)T+72h maxPortail notifications.cnil.fr
Cyber-assuranceT+N heuresHotline contractuel
Clients (résolution)T+N heures post-resolutionEmail

7. Lessons learned (RETEX)

7.1 Ce qui a bien fonctionné

  • [Point positif 1]
  • [Point positif 2]
  • […]

7.2 Ce qui a moins bien fonctionné

  • [Point négatif 1]
  • [Point négatif 2]
  • […]

7.3 Surprises

[Découvertes inattendues — bonnes ou mauvaises — pendant l’incident.]

8. Mesures correctives

8.1 Court terme (J+7)

ActionOwnerÉchéanceStatut
[Description]NicolasYYYY-MM-DD[À faire / En cours / Fait]

8.2 Moyen terme (J+30)

ActionOwnerÉchéanceStatut

8.3 Long terme (J+90)

ActionOwnerÉchéanceStatut

9. Mises à jour documentaires

  • PSSI / threat model dans docs/SECURITY.md mis à jour
  • Runbook DR [chemin] mis à jour avec leçon apprise
  • Tests automatiques ajoutés / modifiés
  • Politique de communication client améliorée (si applicable)

10. IOCs (Indicators Of Compromise) — TLP:AMBER

À partager avec CSIRT-FR + clients impactés uniquement.
TypeValeurConfianceNote
IP sourceXXX.XXX.XXX.XXXÉlevée[origine attaque]
Hash SHA256 fichierabc123…Élevée[malware identifié]
Domain C2malicious-domain.tldMoyenne[observé dans logs Traefik]
User-Agent anormalMozilla/X.X (custom)Moyenne[dans logs]
Email / wallet (ransomware)[…]Élevée[demande de rançon]

11. Annexes

11.1 Logs bruts

  • [Lien commit Git ou chemin fichier]

11.2 Captures d’écran

  • [Lien]

11.3 Communications

  • Pré-notif CSIRT-FR : [chemin]
  • Notif CNIL : [chemin]
  • Email clients : [chemin]

11.4 Procès-verbal interne

  • Décision activation runbook : [horodatage + signature Git commit]
  • Décision communication : [horodatage]

12. Signatures

RôleNomDateValidation
DR OwnerNicolas SchiffgensYYYY-MM-DDGit commit signé
Mandataire SASU (si activé)
DPO externalisé (si applicable)
Diffusion :
  • Version complète (TLP:AMBER) : Nicolas + clients impactés + CSIRT-FR + cyber-assureur
  • Version anonymisée publique (TLP:WHITE) : possible Phase 2 pour transparence statut.snakysec.com